CWSS

De OWISAM
Saltar a: navegación, buscar

Contenido

CWSS : Common Wireless Security Scoring

Una vez identificados los riesgos de seguridad es necesario poder asignarle una clasificación de riesgos en base a un grupo de parámetros objetivos. La estandarización del mecanismo de asignación de riesgos permitirá que diferentes personas puedan clasificar del mismo modo la seguridad o inseguridad de una infraestructura Wireless.

OWISAM propone hacer uso de un sistema de clasificación de riesgos compatible con CVSS [1], el estándar de facto a día de hoy. CVSS hace uso de los siguientes elementos para signar el riesgo de una vulnerabilidad:

  • Metricas Base:: "Exploitability Metrics" e "Impact Metrics"
  • Metricas de entorno:: "General Modifiers" e "Impact Subscore Modifiers"
  • Métricas temporales:: Temporal Score Metrics


La propuesta es modificar dos elementos de las métricas base

Related exploit range (AccessVector): Se modificará este elemento por "Cobertura de red" (NetworkCoverage): Los valores pueden ser, Alta, media, baja.

  • Baja: Necesidad de estar en una ubicación muy cercana al punto de acceso
  • Media: Fuera del perímetro del edificio/local/oficina.
  • Alta: visibilidad con antena direccional.


Attack complexity (AccessComplexity): Se modificará este elemento con "credenciales de acceso" (Credentials) con valores: Muy compleja , compleja, débil, predecible.

  • Muy compleja: No existe viabilidad técnica para obtener, adivinar o descifrar dicha clave a largo plazo.
  • Compleja: Existe una posibilidad de que la clave se pueda adivinar, o descifrar a medio plazo.
  • Débil: Un ataque orientado a la adivinación o descifrado de claves de acceso podría obtenerla a corto plazo.
  • Predecible: La contraseña no existe, es trivial, o puede adivinarse en base a otros parámetros operativos.


Este sistema de clasificación de riesgos, compatible con CVSS, se ha denominado CWSS (Common Wireless Security Scoring)


Clasificación de riesgos

La clasificación general de riesgos de una infraestructura Wireless se ilustra en la siguiente tabla:

Valor Nivel de riesgo impacto
0 – 2 Mínimo Mínimo riesgo de acceso no autorizado. Un ataque exitoso requeriría de una ventana temporal mayor al definido en el alcance de esta revisión así como un nivel de especialización alto.
3 – 4 Bajo Riesgo muy reducido de que un usuario no asociado a la organización sea capaz de acceder a la infraestructura inalámbrica existente. El impacto que puede tener sobre la infraestructura es limitado.
5 - 6 Medio Existe la posibilidad no despreciable de modificación de información, robo de credenciales o modificación del comportamiento normal del sistema, aunque las consecuencias para el sistema son limitadas. Este ataque es viable dentro de un marco temporal inferior a 1 mes.
7 - 9 Alto La probabilidad de que ocurra un acceso no autorizado a los activos de la Organización es alta, debido principalmente a la existencia de debilidades en las redes inalámbricas existentes.

Un atacante podrá impactar significativamente en la operación normal de los sistemas.

10 Crítico La probabilidad de que ocurra un acceso no autorizado en los activos de la organización es muy elevada, debido a la existencia de redes inalámbricas que tienen visibilidad de sistemas internos y que pueden ser accedidas por usuarios externos.
Herramientas personales
Espacios de nombres

Variantes
Acciones
Navegación
Enlaces originales
Herramientas
Otros idiomas